针对企业对邮箱安全的重视程度划分出中级和高级邮箱安全建议操作条目。
高级 | 登录权限(1.4) | 该方式对邮箱安全保护相对全面,不过严格的安全保护措施可能会带来一些使用的不便,建议如果存在较高级别的信息安全需求或日常工作中涉及相对敏感的业务信息传输,可以考虑此方式。 |
手机验证登录(1.5) | ||
客户端授权码(1.6) | ||
密码规则管理(1.8) | ||
IP&地区登录管理(1.9) | ||
安全扫描(1.10) | ||
异地登录提醒(2.2) | ||
配置域名解析(3.3) | ||
中级 | 手机验证登录(1.5) | 该方式提供相对基本的安全功能,建议您根据业务敏感性、信息合规性以及使用体验方面综合考虑是否适合该方式。 |
密码规则管理(1.8) | ||
安全扫描(1.10) | ||
异地登录提醒(2.2) |
一、网易企业邮箱现有保护机制(主动)
子账号
成员,通常指账号使用者
1.1、手机登录验证
一种保护邮箱安全的措施,通常用于确认用户身份。它可以采用短信验证码、移动应用生成的动态验证码或者生物识别技术等方式。这种验证方式有助于确保只有合法用户能够通过其手机进行登录,增强账户的安全性。
操作步骤:
以网页版为例:
打开网页端登录地址:https://qy.163.com/login/登录到网页端邮箱
进入设置
进入密保平台开启手机二次验证
绑定手机并启用短信验证
至此,您的邮箱已成功绑定手机并开启短信验证。
附:
如果是旧版Web,在登录网页端后请点击【应用中心】--【密保平台】处进行手机绑定操作,示例如图:
必要性说明:
增强账户安全性
手机二次验证增加了一个额外的安全层,即使攻击者获取了您的密码,他们在登录网页端等终端时仍然需要通过手机验证才能访问您的账户。而以现今手机的普及度来说,硬件丢失的可能性相对较小,这大大降低了账户被盗的风险。
防止未经授权的访问
二次验证可以有效防止未经授权的访问,特别是在管理员身份的账户中,这些账户通常具有较高的权限,能够管理和创建邮箱,对整个域下用户的邮箱安全有重大影响。
应对密码泄露风险
在密码泄露事件频发的情况下,二次验证可以作为最后一道防线,确保即使密码泄露,账户也不会轻易被攻破。
减少钓鱼攻击的成功率
二次验证可以有效减少钓鱼攻击的成功率,因为即使用户不慎泄露了密码,攻击者仍然需要通过手机验证才能登录。
设置手机二次验证是提升电子邮箱安全性的重要措施,能够有效防止未经授权的访问,保护用户的敏感信息和数据安全。
设置影响:
在企业邮箱用户登录时需要输入账号的密码及绑定的手机收到的验证码方可登录,如遇手机号码欠费、丢失等情况可能会影响正常登录使用。
生效范围说明:
仅通过专有协议(网页端、灵犀客户端、邮箱大师专有协议)登录时生效,如标准协议(IMAP/SMTP/POP3)登录,是无需进行二次验证的,针对标准协议的保护,强烈建议开启客户端授权码(最好采用一端一码形式,即针对每个客户端分配单独的一个授权码)。
1.2、客户端授权码
客户端授权码是OAuth 2.0协议中的一种授权机制。当第三方应用程序(客户端)需要访问用户的受保护资源时,用户被重定向到授权服务器,授权服务器会返回一个授权码给第三方应用程序。然后第三方应用程序使用这个授权码与授权服务器进行交互,最终获取访问令牌,以便访问用户数据。这种机制有助于保护用户的凭证信息,提高安全性。
操作步骤:
以网页版为例:
打开网页端登录地址:https://qy.163.com/login/登录到网页端邮箱
进入设置
进入【账号与安全】--【客户端设置】--【进入设置】
如图在跳转的页面中开启授权码后等待刷新,创建客户端名称(主要是区分使用客户端,无其他特殊要求)
保存生成的授权码
至此,您的邮箱账号已经开启客户端授权码,之后在客户端上使用时无法使用原始密码,而是需要使用当前生成的授权码进行客户端绑定登录。
附:
如果是旧版Web,在登录网页端后请点击【设置】--【邮箱设置】--【客户端设置】处进行授权码开启,示例如图:
必要性说明:
增强安全性
防止密码泄露:客户端授权码是一个独特的安防功能,旨在防止邮箱密码被盗后,盗号者通过客户端登录邮箱。授权码具有随机性、高复杂性和不易泄露的特点,能够有效保护邮箱账户的安全。
独立管理:授权码可以在邮箱中方便地管理,用户可以随时生成或删除授权码,进一步提升安全性。
限制登录方式
专用登录:设置授权码后,邮箱客户端无法通过邮箱密码登录,只能通过授权码来登录。这意味着即使邮箱密码被泄露,未经授权的客户端也无法登录邮箱。
统一授权码:IMAP/POP3/SMTP协议共用一个授权码,简化了管理和使用。
应对特殊情况
解决登录问题:在某些情况下,用户可能会遇到客户端登录失败的问题,如密码中含有特殊符号导致客户端无法识别。使用授权码可以避免这些问题,因为授权码的生成和使用不受密码复杂性的影响。
开启客户端授权码不仅能显著提升邮箱账户的安全性,还能简化管理和使用,确保账号在多场景下能得到有效保护。
设置影响:
当使用客户端绑定邮箱时,不管是标准协议还是专有协议,在授权码开启状态下登录都是需要使用授权码,此时原始密码会被认定为无效(原始密码可以登录网页端)。
生效范围说明:
所有客户端登录。
管理员
账号管理
1.3、安全模式:
账号管理中,提供不同的安全模式选择
操作步骤:
进入管理后台操作界面,需要admin账号登录(登录地址:https://qy.163.com/login/)
选择【组织机构管理】--【账号管理】
进入对应账号后下拉菜单,调整不同安全模式
必要性说明:
不同安全模式对账号的使用场景限制不同。理论上,安全等级越高,账号受限场景越多,但是账号被盗的风险越小。
设置影响:
自定义模式:根据用户手动调整
中级模式:默认开启二次验证
高级模式:进一步增加使用限制,关闭标准协议登录权限,使用者无法主动开启
生效范围说明:
针对选择账号生效(管理员可批量操作,如对全域账号生效)
1.4、登录权限:
管理员根据实际需要授权对应账号登录权限,未授权则无法登录。
操作步骤:
进入管理后台操作界面,需要admin账号登录(登录地址:https://qy.163.com/login/)
选择【组织机构管理】--【账号管理】
下拉菜单找到【登录权限】按需要调整即可
必要性说明:
有助于确保系统安全。通过设置登录权限,管理员可以控制谁可以访问系统或特定的资源,从而降低未经授权访问的风险。
设置影响:
未授权的登录权限无法使用,如管理员设置A账号无法使用标准协议,则当A账号使用者使用如Foxmail这类客户端标准协议(IMAP/POP3/SMTP)登录时报错,无法登录。
注意:为了提供更可靠安全的邮箱使用环境,网易企业邮箱从9月开始逐步调整账号安全策略,预计9月底开始,尽管管理员在创建账号时是默认勾选IMAP和POP的,但用户侧的Webmail网页端上的开关实际为关闭,如用户需要使用标准协议,需要到网页端手动开启下。
生效范围说明:
针对选择账号生效(管理员可批量操作,如对全域账号生效)
1.5、手机登录验证
操作步骤:
进入管理后台操作界面,需要admin账号登录(登录地址:https://qy.163.com/login/)
选择【组织机构管理】--【账号管理】
菜单内找到【账户安全】--【绑定】,输入绑定的手机号。
下拉菜单找到【密保安全】--【安全模式】--【登录验证】,勾选强制开启二次验证
至此,当前选择邮箱已成功绑定手机并开启短信验证。
附:
目前验证方式除手机短信外,尊享版邮箱也可支持安全邮箱验证,即选择邮箱可以绑定另一个邮箱来接收验证码,员工可以在admin设置登录验证方式后,在登录时绑定安全邮箱或者直接让admin在管理后台操作绑定。
必要性说明:
参考子账号开启手机登录验证必要性说明。
设置影响:
参考子账号开启手机登录验证设置影响。
生效范围说明:
针对选择账号生效(管理员可批量操作,如对全域账号生效)
1.6、客户端授权码
操作步骤:
进入管理后台操作界面,需要admin账号登录(登录地址:https://qy.163.com/login/)
选择【组织机构管理】--【账号管理】
下拉菜单找到【客户端授权密码】选项按需要调整即可
必要性说明:
参考子账号开启手机登录验证必要性说明。
设置影响:
参考子账号开启手机登录验证设置影响。
生效范围说明:
针对选择账号生效(管理员可批量操作,如对全域账号生效)
1.7、客户端端口配置
操作步骤:
进入管理后台操作界面,需要admin账号登录(登录地址:https://qy.163.com/login/)
选择【组织机构管理】--【账号管理】
下拉菜单找到【客户端端口配置】按需选择即可,推荐选择【强制配置加密端口】。
必要性说明:
通过使用加密端口(如SSL或TLS),可以确保在电子邮件传输过程中的数据加密,从而提供隐私和安全性。这种加密可以有效地防止未经授权的访问者或黑客窃取电子邮件内容或敏感信息。有助于确保电子邮件通信的保密性和完整性,以及符合数据隐私和安全标准。
设置影响:
账号使用者可能需要重新更新他们的电子邮件客户端或应用程序配置以确保其连接到加密端口。这可能需要一些额外的设置步骤,但一旦完成,使用者会获得更高级别的安全性和数据保护。虽然这可能对使用者造成一些额外的工作量,但这种安全性措施通常会提供更好的保护,从而增加整体的安全感。
生效范围说明:
针对选择账号生效(管理员可批量操作,如对全域账号生效)
安全中心:
1.8、密码规则管理
电子邮件密码规则管理是指对用户在创建或更改电子邮件账户密码时需要满足的特定规则进行管理和执行。这些规则旨在增强密码的安全性,降低账户被盗用的风险。典型的密码规则可能包括:密码长度要求、包含大写字母、小写字母、数字和特殊字符、禁止使用常见密码、定期更改密码等。
通过强制实施这些规则,可以提高账户的安全性,防止未经授权的访问和数据泄露。同时,这也鼓励用户使用更安全的密码实践,从而保护其个人信息和通信的安全。
操作步骤:
进入管理后台操作界面,需要admin账号登录(登录地址:https://qy.163.com/login/)
选择【安全中心】--【密保管理】--【密码规则管理】,按实际需要设置规则即可。
必要性说明:
通过实施密码规则,可以要求员工定期修改密码,同时确保用户创建的密码相对复杂,提高账户的安全性。这有助于防止未经授权的访问者进入用户的电子邮件账户,从而保护用户的个人信息和通信内容不受损害。密码规则还有助于降低账户被盗用或黑客攻击的风险,从而维护整个电子邮件系统的安全性。
设置影响:
成员可能会因为需要定期修改密码以及对密码设置上的高要求产生抵触情绪,建议根据企业实际对邮箱安全的重视程度调整强制修改密码频率以及密码复杂性要求。
生效范围说明:
全域生效。
1.9、IP&地区登录管理
管理员通过此设置,达到只允许员工在特定IP&地区范围内才可以访问邮箱的目的,更好的保护企业信息安全。同时也可设置白名单以便某些账号不受该IP登录限制规则的约束。
操作步骤:
进入管理后台操作界面,需要admin账号登录(登录地址:https://qy.163.com/login/)
选择【安全中心】--【登录管理】--【IP登录管理】,按实际需要设置登录规则即可。
必要性说明:
一般黑产行业获取邮箱密码最常见的方式是暴力破解,也叫密码穷举。电子邮箱因为其功能特殊性,不可避免地存在被曝光的可能性,如果账户密码比较简单,此时黑客使用暴力破解工具很快就可以破释出密码。而管理员通过对登录地区&IP进行限制,从源头上杜绝被尝试的可能性。
设置影响:
成员只能在被允许的范围内使用,当存在出差等客观场景时,需要提前联系admin设置成员个人规则,增加了admin的操作成本,不过对账号的保护效果也是比较明显的。
生效范围说明:
企业成员默认规则对除单独设置规则的成员外所有的成员以及未来新创建的成员生效(全局)。
个人成员规则(优先于企业成员规则),对个别成员单独设置登录限制,主要用于面向经常出差或外派的同事进行设置。
1.10、安全扫描
集成弱密码统计、二次验证统计、陌生来信统计、异地登录提醒统计、90天未修改密码等功能,一键式对域内账号进行安全措施扫描。
操作步骤:
进入管理后台操作界面,需要admin账号登录(登录地址:https://qy.163.com/login/)。
选择【安全中心】--【安全扫描】,根据需要选择要检索的功能项然后【立即扫描】即可。
扫描完成后,会将扫描结果展示在对应页面上,同时admin也会收到完整的扫描报告,此时管理员根据实际结果对风险账号进行策略调整即可。
必要性说明:
提供全面的账户安全性管理。通过自动扫描和汇总这些数据,系统可以快速识别存在的安全隐患,例如弱密码、未经授权的登录尝试、以及长时间未修改密码的账户。这种方法有助于用户和管理员及时采取必要的安全措施,加强账户的安全防护,从而防止未经授权的访问、数据泄露以及其他潜在的安全风险。
设置影响:
无
生效范围说明:
全域生效。
二、账号异常提醒(被动)
子账号
2.1、异地登录提醒
一种电子邮件安全功能,用于提醒用户其账户被从不常用或未知的地理位置尝试登录。当系统检测到用户从非常规地点登录时,它会向用户发送通知,以确保用户可以及时采取行动来确认是否这次登录是合法的。这种功能有助于防范未经授权的访问,并使用户更容易发现潜在的账户安全问题。
操作步骤:
打开网页端登录地址:https://qy.163.com/login/登录到网页端邮箱
进入设置
找到【账户与安全】--【安全提醒】--【进入设置】
根据实际需要选择是否开启提醒功能以及开启的频率和方式即可
至此,您的邮箱已成功开启异地登录成功提醒功能。
附:
如果是旧版Web,在登录网页端后请点击【设置】--【邮箱设置】--【安全提醒】处进行操作即可,示例如图:
必要性说明:
帮助用户及时发现潜在的账户被盗用或未经授权访问的风险。通过及时获知异地登录尝试,用户可以立即采取必要的措施,如修改密码或确认登录的合法性,从而有效地防止潜在的安全威胁。这种功能使用户能够更好地掌握其账户的安全状态,提高账户安全性,减少被盗用或入侵的可能性。
设置影响:
当存在非常用地登录成功时,用户会收到一封异地提醒邮件,示例如图:
生效范围说明:
对应账号的所有登录行为,只要登录成功就会触发,不管是标准协议还是专有协议,也不论是网页端还是客户端。
管理员
2.2、异地登录提醒
操作步骤:
进入管理后台操作界面,需要admin账号登录(登录地址:https://qy.163.com/login/)
选择【组织机构管理】--【账号管理】,找到对应账号点击进去
下拉菜单找到【异地登录提醒】选项,按需选择开启与否以及提醒方式。
必要性说明:
参考子账号开启异地登录提醒的必要性说明。
设置影响:
参考子账号开启异地登录提醒的设置影响。
生效范围说明:
针对选择账号生效(管理员可批量操作,如对全域账号生效)
三、域名安全解析(预防)
3.1、概念说明:
SPF
SPF (Sender Policy Framework) 是一种用于验证邮件发送者身份的技术标准。它允许域所有者规定哪些IP地址可以发送该域的邮件,从而帮助接收邮件服务器检测伪造的发件人地址。
DMARC
DMARC (Domain-based Message Authentication, Reporting, and Conformance) 是一种邮件验证和反欺诈技术,结合了 SPF 和 DKIM,并提供了一个机制,使域所有者能够指示接收邮件服务器如何处理未通过验证的邮件,并收集有关邮件流量的报告。
DKIM
DKIM (DomainKeys Identified Mail) 是一种邮件验证系统,通过使用公钥加密来验证发件人域名和邮件的完整性,以及确认邮件确实由该域名的授权发送者发送。
三条解析共同作用于防止电子邮件欺诈、伪造和钓鱼邮件等行为。有助于确保接收方可以验证发件人身份,从而减少垃圾邮件、欺诈和恶意软件的传播,并提高整体电子邮件安全性。提高电子邮件的可信度,确保邮件发送者的真实性,并为接收方提供更多的安全保障。
3.2、举例说明:
类比生活中的例子,以寄送快递为例,A需要寄送一个包裹给到B,为了防止存在第三方冒充A的身份给B寄包裹,A跟B提前声明了真实的包裹上会打三个防伪标签,分别是a.b.c,并与B约定,如果收到了缺少a.b.c标签的包裹,则是假冒的,请B拒绝接收。
这个例子中,a.b.c其实就代表了域名的三条解析SPF、DMARC、DKIM。
不过落实到实际邮件收发中,仍然存在被伪造成功的案例,主要是因为相关解析部署并不普遍,尽管越来越多的组织采用SPF、DMARC、DKIM等,但仍有许多电子邮件服务器没有部署该机制。如果接收方的服务器不检查相关解析记录或未正确实施策略的话,伪造邮件仍然可能通过。
简单理解为,SPF、DMARC、DKIM是需要收发双方都支持才能发挥作用,只一方去做,另一方不做配合的话,则效果不佳,代入到上述寄快递的例子中,即尽管A做了防伪标签a.b.c,但是B并没有严格验证防伪标签,所以B仍然可能收到假冒的包裹。
3.3、配置域名解析(步骤):
以阿里云为例:
需要先在邮箱管理后台获取解析记录值:(需要admin账号登录后台,登录地址:https://qy.163.com/login/)。
登录阿里云域名平台添加解析(可联系阿里云平台核实账密),登录网址:https://aliyun.com/。
登录后根据截图位置找到对应平台配置域名解析的地方,再根据步骤1中从管理后台获取到的解析值添加生效即可
四、其他(预防)
针对日常使用邮箱上的一些建议
清除浏览器的cookie,切勿选择自动记住密码(包括浏览器和客户端)
检查来往邮件,是否出现伪造邮件地址的邮件,如有,请停止沟通,并将伪造的邮件地址列入黑名单
检查邮箱中是否有异常设置,例如自动转发、来信分类等,如有,请取消或修改相关设置
不要在随便在网站上(比如网站需要留下会员注册信息)留下您的邮箱账号和密码
如涉及资金往来,务必通过其他途径进行多次确认身份后再进行付款
